Kudelski Security ընկերությունը, որը մասնագիտացած է անվտանգության աուդիտներում, հրապարակել է Oramfs ֆայլային համակարգը ORAM (Oblivious Random Access Machine) տեխնոլոգիայի ներդրմամբ, որը քողարկում է տվյալների հասանելիության օրինակը: Նախագիծն առաջարկում է FUSE մոդուլ Linux-ի համար ֆայլային համակարգի շերտի ներդրմամբ, որը թույլ չի տալիս հետևել գրելու և կարդալու գործողությունների կառուցվածքին: Oramfs կոդը գրված է Rust-ով և լիցենզավորված է GPLv3-ով:
ORAM տեխնոլոգիան ներառում է գաղտնագրումից բացի ևս մեկ շերտի ստեղծում, որը թույլ չի տալիս տվյալների հետ աշխատելիս որոշել ընթացիկ գործունեության բնույթը: Օրինակ, եթե գաղտնագրումն օգտագործվում է երրորդ կողմի ծառայությունում տվյալները պահելու ժամանակ, այս ծառայության սեփականատերերը չեն կարող ինքնուրույն պարզել տվյալները, բայց կարող են որոշել, թե որ բլոկներին են հասանելի և ինչ գործողություններ են կատարվում: ORAM-ը թաքցնում է տեղեկատվություն այն մասին, թե FS-ի որ մասերն են մուտք գործում և ինչ գործողություն է կատարվում (կարդալու կամ գրելու):
Oramfs-ը տրամադրում է ունիվերսալ ֆայլային համակարգի շերտ, որը թույլ է տալիս պարզեցնել տվյալների պահպանման կազմակերպումը ցանկացած արտաքին պահեստում: Տվյալները պահվում են կոդավորված՝ կամընտիր նույնականացմամբ: Գաղտնագրման համար կարող են օգտագործվել ChaCha8, AES-CTR և AES-GCM ալգորիթմները: Գրելու և կարդալու հասանելիության օրինաչափությունները թաքցվում են՝ օգտագործելով Path ORAM սխեմա: Հետագայում նախատեսվում է իրականացնել այլ սխեմաներ, սակայն ներկայիս տեսքով մշակումը դեռ նախատիպի փուլում է, որը խորհուրդ չի տրվում օգտագործել արտադրական համակարգերում։
Oramfs-ը կարող է օգտագործվել ցանկացած ֆայլային համակարգի հետ և կախված չէ թիրախային արտաքին պահեստի տեսակից. հնարավոր է ֆայլերը համաժամացնել ցանկացած ծառայության հետ, որը կարող է տեղադրվել տեղական գրացուցակի տեսքով (SSH, FTP, Google Drive, Amazon S3): , Dropbox, Google Cloud Storage, Mail.ru Cloud, Yandex.Disk և այլ ծառայություններ, որոնք աջակցվում են rclone-ում կամ որոնց համար կան FUSE մոդուլներ մոնտաժման համար): Պահպանման չափը ֆիքսված չէ, և եթե լրացուցիչ տարածք է անհրաժեշտ, ORAM-ի չափը կարող է դինամիկ մեծացնել:
Oramfs-ի կարգավորումը հանգում է նրան, որ սահմանվում է երկու դիրեկտորիա՝ հանրային և մասնավոր, որոնք գործում են որպես սերվեր և հաճախորդ: Հանրային գրացուցակը կարող է լինել տեղական ֆայլային համակարգի ցանկացած գրացուցակ, որը միացված է արտաքին պահեստներին՝ դրանք միացնելով SSHFS, FTPFS, Rclone և ցանկացած այլ FUSE մոդուլների միջոցով: Մասնավոր գրացուցակը տրամադրվում է Oramfs FUSE մոդուլի կողմից և նախատեսված է ուղղակիորեն աշխատելու ORAM-ում պահվող ֆայլերի հետ: ORAM պատկերի ֆայլը գտնվում է հանրային գրացուցակում: Անձնական գրացուցակով ցանկացած գործողություն ազդում է այս պատկերային ֆայլի վիճակի վրա, սակայն այս ֆայլը արտաքին դիտորդին նման է սև արկղի, որի փոփոխությունները չեն կարող կապված լինել մասնավոր գրացուցակի գործունեության հետ, ներառյալ՝ արդյոք կատարվել է գրելու կամ կարդալու գործողություն։ .
Oramfs-ը կարող է օգտագործվել այն տարածքներում, որտեղ պահանջվում է գաղտնիության ամենաբարձր մակարդակը և կարող է զոհաբերվել կատարումը: Արդյունավետությունը նվազում է, քանի որ պահպանման յուրաքանչյուր գործողություն, ներառյալ տվյալների ընթերցման գործողությունները, հանգեցնում են ֆայլային համակարգի պատկերի բլոկների վերակառուցմանը: Օրինակ, 10 ՄԲ ֆայլի ընթերցումը տևում է մոտ 1 վայրկյան, իսկ 25 ՄԲ-ը՝ 3 վայրկյան: 10 ՄԲ գրելը տևում է 15 վայրկյան, իսկ 25 ՄԲ-ը՝ 50 վայրկյան: Միևնույն ժամանակ, Oramfs-ը մոտավորապես 9 անգամ ավելի արագ է կարդալիս և 2 անգամ ավելի արագ՝ գրելիս՝ համեմատած UtahFS ֆայլային համակարգի հետ, որը մշակվել է Cloudflare-ի կողմից և ընտրովի աջակցում է ORAM ռեժիմին:
Source: opennet.ru